À quelle fréquence devriez-vous changer vos mots de passe ?

Analyse détaillée

La stratégie moderne des mots de passe

L'ancien conseil était « changez vos mots de passe tous les 30 jours ». Les experts en sécurité disent maintenant que c'est contre-productif — les changements fréquents forcés poussent les gens à utiliser des mots de passe plus faibles (Motdepasse1, Motdepasse2, Motdepasse3...) ou à les écrire sur des post-it.

La stratégie moderne est :

1. Utilisez un gestionnaire de mots de passe (1Password, Bitwarden, Dashlane) pour générer et stocker des mots de passe uniques et complexes pour chaque compte.
2. Rendez chaque mot de passe unique — ne réutilisez jamais de mots de passe entre les sites.
3. Changez selon un calendrier — tous les 3-6 mois pour les comptes critiques.
4. Changez immédiatement après toute notification de fuite.
5. Activez l'authentification à deux facteurs (2FA) partout où c'est possible.

Niveau 1 : Changer tous les 3 mois

Ces comptes contrôlent l'accès à tout le reste ou contiennent des données financières sensibles :

• Email principal — si quelqu'un accède à votre email, il peut réinitialiser tous vos autres mots de passe.
• Comptes bancaires et financiers — accès direct à votre argent.
• Mot de passe maître du gestionnaire — la clé de toutes vos clés.
• Comptes professionnels — surtout si vous avez un accès administrateur.

Niveau 2 : Changer tous les 6 mois

Comptes importants qui pourraient causer des dommages mais sont moins susceptibles d'être directement ciblés :

• Réseaux sociaux — Facebook, Instagram, Twitter/X, LinkedIn.
• Stockage cloud — Google Drive, Dropbox, iCloud.
• Comptes shopping — Amazon, eBay (surtout ceux avec des moyens de paiement enregistrés).
• Services de streaming — Netflix, Spotify (souvent partagés et compromis).

Niveau 3 : Changer annuellement ou après des fuites

Comptes à risque plus faible qui ne contiennent pas de données personnelles ou financières sensibles :

• Forums et sites communautaires
• Inscriptions aux newsletters
• Comptes de jeux
• Applications sans informations de paiement

Ce qui fait un mot de passe fort

Si vous utilisez un gestionnaire de mots de passe (et vous devriez), laissez-le générer les mots de passe pour vous. Mais pour les quelques mots de passe que vous devez mémoriser (mot de passe maître, déverrouillage d'appareil), suivez ces règles :

• Minimum 16 caractères — la longueur bat la complexité.
• Méthode de la phrase de passe — enchaînez 4-5 mots aléatoires : « correct cheval batterie agrafe » est à la fois fort et mémorable.
• Pas d'infos personnelles — pas de dates d'anniversaire, noms d'animaux, adresses ou quoi que ce soit devinable depuis vos réseaux sociaux.
• Pas de motifs — pas de parcours clavier (azerty), pas de séquences (123456), pas de caractères répétés.

Authentification à deux facteurs (2FA)

Changer les mots de passe est important, mais la 2FA change vraiment la donne. Même si quelqu'un obtient votre mot de passe, il ne peut pas se connecter sans le second facteur.

Méthodes 2FA de la meilleure à la moins bonne :

1. Clé de sécurité matérielle (YubiKey) — résistante au phishing
2. Application d'authentification (Google Authenticator, Authy) — forte et pratique
3. Codes SMS — mieux que rien, mais vulnérable au SIM swapping
4. Codes par email — le plus faible, car l'email peut être compromis

Activez la 2FA sur chaque compte qui la supporte, surtout les comptes de Niveau 1.

Après une fuite de données

Quand vous recevez cet email redouté « nous avons subi un incident de sécurité » :

1. Changez le mot de passe sur ce service immédiatement.
2. Changez le mot de passe sur tout autre service où vous utilisiez le même mot de passe. (C'est pourquoi les mots de passe uniques sont importants.)
3. Activez la 2FA si ce n'est pas déjà fait.
4. Surveillez vos comptes pour toute activité inhabituelle.
5. Consultez haveibeenpwned.com — entrez votre email pour voir de quelles fuites vous faites partie.

Configuration du gestionnaire de mots de passe

Si vous n'avez pas encore de gestionnaire de mots de passe, en configurer un prend environ une heure et c'est la meilleure chose que vous puissiez faire pour votre sécurité :

1. Choisissez un gestionnaire (Bitwarden est gratuit et excellent ; 1Password coûte 3 €/mois).
2. Créez un mot de passe maître fort que vous pouvez mémoriser.
3. Installez l'extension de navigateur et l'application mobile.
4. En vous connectant aux sites, enregistrez chaque identifiant dans le gestionnaire.
5. Au cours du mois suivant, parcourez vos comptes et remplacez les mots de passe réutilisés par des mots de passe uniques générés.

Signes qu'il est temps

• Vous avez reçu une notification de fuite de données d'un service
• Vous ne vous souvenez pas de la dernière fois que vous avez changé vos mots de passe critiques
• Vous utilisez le même mot de passe sur plusieurs sites
• Vous n'avez pas la 2FA activée sur votre email ou votre banque
• Vous avez partagé un mot de passe et la relation a changé
• Vous vous êtes connecté à un compte sur un ordinateur public ou partagé
• Vous voyez une activité de connexion inconnue dans les paramètres de votre compte
• Cela fait plus de 3 mois depuis votre dernière rotation de mots de passe

Tableau récapitulatif

| Type de compte | Fréquence de changement | Priorité 2FA | |---------------|------------------------|--------------| | Email principal | Tous les 3 mois | Critique — utilisez une app d'authentification | | Banque/finances | Tous les 3 mois | Critique — utilisez une app d'authentification | | Gestionnaire de mots de passe | Tous les 3 mois | Critique — utilisez une clé de sécurité | | Réseaux sociaux | Tous les 6 mois | Élevée | | Stockage cloud | Tous les 6 mois | Élevée | | Shopping (cartes enregistrées) | Tous les 6 mois | Élevée | | Services de streaming | Tous les 6 mois | Moyenne | | Forums/communautés | Annuel | Faible | | Après une fuite | Immédiatement | Activer si pas active |